SSCP_memo - KojiHys/MyMemo GitHub Wiki

SCCPのメモ https://bit.ly/2CBTtXd ''' https://www.cloudsecurityalliance.jp/newsite/?page_id=206

現場のIT実装　SSCP 現実的なIT実装

自分たちの内情に合っているIT実装

セキュリティの測定可能性 セキュリティはビジネス目標に基づいている

私たちは自分が何を知らないかを知らない

リソースと優先順位の割り当て トリアージ

資産管理でまずいのはスナップショット　本来はリアルタイム 資産価値に応じたセキュリティコスト　決めるのはCISO,CIO

現場の苦しみ 世界共通

情報セキュリティはビジネス志向の活動 資産の識別と分類　保護対象を把握 資産の保護は資産価値に基づくべき

セキュリティは経営幹部とユーザに関して有意義なもの 実現可能な環境で実装 ITによる透過的な実装 人員にとって単純な実装

複雑はいけない

CIA

機密性を確保する必要がある情報の例

適切に管理策を適切に実装できないことを報告

実務者はエビデンスを持ってCIO,CISOの管理策を書く

最小特権の原則を実装する 相互排他性、職務の分離、デュアルコントロール 管理者の管理も例外ではない 営業秘密管理指針　経済産業省

SSCPは実務者向けの特権IDの運用について細かく定義されている 実務者の不平不満 実務者の管理

need to know 最小権限 職務の分離 ジョブローテーション

特権アカウントの管理 内部不正 外部アクセス→なりすまし 内部不正を発見できれば、外部のアカウントを守ること

トピック２ リスク特定、モニタリングと分析、リスクマネジメント

リスクは残存する　費用合理性

インシデントは全て対応する リスクの特定とリスクていげbn ビジネスの方針に従う 　コストはインシャルとランニング両方を見積もる

リスクマネジメントフレームワーク 　 実務者リスクレジスタ

保証（アシュアランス）

リスク受容出来るかを考える（積極的に考える）　費用対効果が高い リスク低減　何を持って適切かどうかを見る リスク移転・リスク共有 リスク回避（絶対的経営範囲） 　実務者は判断出来ない

科学的統計的モデル 創造的研究モデル

運用でカバーを辞めましょう

情報セキュリティを科学で捉える

リスクマネジメントの評価 ツールを使って組織横断的に行う

脆弱性の識別 根拠のないリスクの受容

リスクの可視化　アセスメントの結果を文書化され経営陣に伝えられる １箇所で照合できるようにする 閾値

レポート　第三者が見て客観的に評価できる

継承可能な実装 多層防御　単一障害点を考慮、 単一侵害点　ex)認証サーバ チョークポイント

モニタリング

管理策は時間が経つと効果を失う 確実に用件通りに実装運用されているか？実務者がチェックする

トピック３ アクセス制御

アクセス制御と アクセスログの記録の管理

サブジェクト　オブジェクト　ルール

アクセス制御による実装の不備

リファレンスモニター

潜在的なサブジェクトの洗い出し アクセス制御が対策として最も費用対効果が高い

管理的 物理的 論理的・技術的

自動化されたプロセスと人間による作業の両立

ユーザID メールアドレスが使われている ユニーク 多要素認証 パスワード パスワード認証を止めよう

所有物認証は再発行コストが大変

DACとMAC 属性ベースのアクセス制御

EU管理のADをたてる

アカウントのIDを新規に発行したくない

SSOのメリット・デメリット

Win10 近距離共有

セキュリティ運用を開始します

データー　インフォメーション　インテリジェンス

ホエーリング　VIPに攻撃をかける ワーム＞ ０Day 対応の優先順位

NIST SP800-145

ハードウェアは脆弱性である

クラウドプロバイダは全てのリスクを考慮が必要な単なるデータセンター

ネットワークアクセス、国境をまたぐデータフロー、クラウドサービスプロバイダー 仮想マシンの盗難（コピー＆ムーブ） クラウドサービスプロバイダーからの移行 移行ツール（Docker)

既知のリスクに関連付けられていた管理策はほぼ確実にいらないので削除する

主要なログのモニタリング 平時の状態をモニタリング

経営陣は理解しないかもしれないが、土台を作っていく必要がある 監査計画

オペミスでEU域外に個人データを移転した場合 十分な個人データ保護の保障 GDPR 通知義務　７２時間以内に監督機関に知らせる 実務者が何をモニタリングしなければならないのか、把握しておく必要がある。 土日運用しないといけない 問題を把握してから７２時間、EUの個人情報

監督先への通知 データ保護オフィサーの設置

実務者が何をモニタリングしなければいけないのか理解する

NWトラフィックは暗号化されているため、EPで見る必要がある。DLPの再燃。 NTPの問題

ログの保護 ログ分析　SIEM

実務者が経営者を支える